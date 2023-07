Eine kritische Sicherheitslücke im Woocommerce Payments-Plug-in, das mehr als 600.000 Wordpress-Sites einsetzen, ist das Ziel einer aktuellen Angriffswelle. Davor warnen die IT-Sicherheitsforscher von Wordfence.

Die IT-Forensiker schreiben, dass die Angriffswelle bereits am vergangenen Freitag angefangen habe. Sie setzte sich am Wochenende weiter fort und erreichte ihren bisherigen Höhepunkt am Samstag und Sonntag des Wochenendes mit je 1,3 Millionen Attacken gegen 157.000 Websites.

Angriffswelle auf kritische Sicherheitslücke

Der Exploit, den die Angreifer verwenden, verschafft ihnen administrativen Zugang auf verwundbaren Websites. Die Schwachstellenbeschreibung lautet: Ein Problem im WooCommerce Payments-Plug-in für WordPress, Version 5.6.1 und vorherige, ermöglicht nicht authentifizierten Angreifern, Anfragen im Namen berechtigter Nutzer wie "Administrator" zu senden. Dadurch können nicht authentifizierter bösartige Akteure aus dem Netz auf eine Website, die eine verwundbare Version des Plugins installiert hat, Administratorrechte erlangen (CVE-2023-28121, CVSS 9.8, Risiko "kritisch").

Die Sicherheitslücke wurde mit einem Patch auf Version 5.6.2 des Woocommerce Payments-Plug-ins bereits im März dieses Jahres geschlossen. IT-Sicherheitsforscher haben am 03. Juli darauf basierend einen Proof-of-Concept-Expoit entwickelt und veröffentlicht – allerdings kursierten offenbar zuvor bereits Exploits.

Die Wordfence-Forscher schreiben in ihrer Analyse, dass die Angriffe eher gezielt auf einen eingeschränkten Satz von Websites laufen würden – anders als sonst, wo Attacken wahllos Millionen von Sites angreifen. Bereits einige Tage vor dem Start der Angriffswelle haben sie Hinweise auf eine Katalogisierung entdeckt. Dabei suchten Anfragen nach einer Datei readme.txt im Verzeichnis wp-content/plugins/woocommerce-payments/ von Millionen Wordpress-Sites. Die Analyse listet unter "Tactics, Techniques and Procedures (TTPs)" noch einige Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOCs).

Diese sollten Administratoren mit Woocommerce Payments-Plug-in auf Vorhandensein überprüfen. Außerdem sollten sie das bereitstehende Update spätestens jetzt installieren.

Vor rund einem Monat warnten IT-Forscher vor einer Sicherheitslücke im Woocommerce Stripe Gateway-Plug-in. Angreifer hätten auf vertrauliche Shop-Informationen zugreifen können.

(dmk)